Die Erfindung betrifft eine Vorrichtung zur Eingabe und Übertragung von ver¬ schlüsselten Signalen nach dem Oberbegriff des Anspruches 1 und ein Verfah¬ ren zum Betreiben der Vorrichtung.

An bestimmten Selbstbedienungsgeräten, wie zum Beispiel Geldautomaten, Überweisungsterminals, Bezahlterminals im Einzelhandel und dergleichen, muss aus Sicherheitsgründen ein Passwort, das heißt eine persönliche Ge¬ heimzahl, eine so genannte PIN-Nummer, zur Autorisierung des Benutzers ein¬ gegeben werden. Nur so kann eine Auszahlung beziehungsweise eine Über¬ weisung erfolgen. Diese PIN-Nummer wird üblicherweise innerhalb der Tastatur des Selbstbedienungsgerätes verschlüsselt und gesichert weiter an einen über¬ geordneten Rechner übertragen. Solche Tastaturen werden als EPP (= Encryp- ted Pin Päd) bezeichnet.

Bei Manipulationsversuchen wird u.a. versucht, die vom Benutzer am Selbstbe- dienungsgerät eingeführte Magnetkarte zu kopieren und die dazugehörige PIN- Nummer auszuspähen. Dieses Ausspähen der PIN-Nummer bei ihrer Eingabe erfolgt beispielsweise auf die folgende Weise mit: - einem vorzugsweise am Selbstbedienungsgerät oder über der Tastatur des Terminals installierten Spiegel, - einer zusätzlichen Tastatur, die auf die Originaltastatur aufgesetzt wird, oder - einer vorzugsweise am Selbstbedienungsgerät oder über der Tastatur des Terminals installierten Miniaturkamera mit Übertragungseinrichtung.

Ein seitlicher Sichtschutz am EPP hilft dagegen nur bedingt. Auch Hinweise an die Benutzer, mit der PIN-Nummer sorgfältig umzugehen und bei ihrer Eingabe zum Beispiel die andere Hand als Sichtschutz zu gebrauchen, werden in der Praxis zu wenig beachtet.

Es ist auch bekannt, die PIN-Nummer an einer separaten Vorrichtung ein- zugeben, so z.B. über ein Handy, mit dem die PIN-Nummer dann direkt und vorzugsweise drahtlos an das Selbstbedienungsgerät übertragen wird. Auch hier sollte die PIN-Nummer verschlüsselt übertragen werden. Die Erfindung hat vor diesem Hintergrund die Aufgabe, eine Vorrichtung und ein Verfahren zum Betreiben der Vorrichtung zu schaffen, um Informationen, insbe¬ sondere eine Geheimnummer (PIN) in sicherer Weise an ein Selbstbedie¬ nungsgerät weiterzuleiten.

Die Lösung der Aufgabe erfolgt durch den Gegenstand des Anspruchs 1 und durch das Verfahren nach Anspruch 11.

Die Erfindung schafft eine Vorrichtung zur Eingabe und Übertragung von ver- schlüsselten Datensignalen mit einer Eingabeeinrichtung zur Eingabe von Zei¬ chen; einer Verschlüsselungseinrichtung zum Verschlüsseln von Daten; einer Übertragungseinrichtung zum Übertragen von Daten; einer Steuerungseinrich¬ tung zur Verarbeitung von Daten; sowie mit mindestens einer Schalteinrichtung zur Beeinflussung der Übertragungseinrichtung und der eingegebenen und ver- schlüsselten gespeicherten Daten und zum Freischalten der Übertragungsein¬ richtung innerhalb eines vorgebbaren Zeitintervalls.

Durch die vom Selbstbedienungsgerät unabhängige Vorrichtung ist es vorteil¬ haft möglich, dass der Benutzer seine Geheimnummer oder ein erforderliches Passwort zunächst in diese erfindungsgemäße Vorrichtung unabhängig vom Ort eines Selbstbedienungsgerätes oder dergleichen eingeben kann. Zweckmäßi¬ gerweise kann die Vorrichtung die eingegebene Geheimnummer in erforderli¬ cher Weise verschlüsseln. Der Benutzer kann dann vor einem Selbstbedie¬ nungsgerät wie einem Geldautomaten die Übertragungseinrichtung der Vor- richtungen aktivieren und eine Übertragung des eingegebenen Codes zum Au¬ tomaten veranlassen. Dabei lässt es sich vorteilhaft vorher festlegen, in wel¬ chem Zeitraum eine Übertragung der verschlüsselten Daten möglich ist. Nach Ablauf des Zeitraums wird die Vorrichtung automatisch deaktiviert, so dass eine weitere Übertragung der verschlüsselten Daten nicht mehr möglich ist. Eine Einschränkung auf eine einmalige Übertragung ist besonders vorteilhaft. Ein Verlust der Vorrichtung führt damit nicht automatisch zu einer Gefahr unbefugter Nutzung der Vorrichtung.

Weiterhin ist es zweckmäßig, dass die Schalteinrichtung auch zum Löschen von eingegebenen Daten nach dem Freischalten der Übertragung innerhalb eines vorgebbaren Zeitintervalls ausgebildet ist. Dadurch wird nach der Übertragung beziehungsweise nach dem Ablauf des vorher festgelegten Zeitintervalls auch ein gespeicherter Wert der Geheimzahl gelöscht, so dass ein missbräuchliches Auslesen mittels besonderer Geräte nicht mehr möglich ist. Die Sicherheit wird somit vorteilhaft erhöht.

In einer weiteren bevorzugten Ausgestaltung ist die Übertragungseinrichtung der erfindungsgemäßen Vorrichtung zur Übertragung von Daten für eine draht¬ lose und/oder drahtgebundene Übertragungsstrecke ausgebildet. Zudem ist sie derart ausgebildet, dass sie für unterschiedliche Bautypen von Selbstbedie¬ nungsgeräten und Terminals eingesetzt werden kann.

Es ist in weiterer bevorzugter Ausführung zweckmäßig, dass die Steuereinrich¬ tung mindestens einen Prozessor, einen Speicher und eine Verschlüsselungs¬ einrichtung aufweist, damit eine Be- und Verarbeitung der eingegebenen Daten wie an einem Selbstbedienungsgerät erfolgen kann.

In einer weiteren Ausgestaltung weist die erfindungsgemäße Vorrichtung eine Sensorik zur Abtastung biometrischer Daten auf. Diese zusätzliche Sicherheit gewährleistet einerseits, dass nur der autorisierte Benutzer die Vorrichtung ver¬ wenden kann, und andererseits, dass bei einem Verlust eine vorteilhaft noch höhere Sicherheitsstufe vorhanden ist.

Für eine vorteilhafte Kommunikation der erfindungsgemäßen Vorrichtung mit dem jeweiligen Selbstbedienungsgerät ist es zweckmäßig, dass die Übertra¬ gungseinrichtung für einen zweiseitigen Datenaustausch mit dem Selbstbedie¬ nungsgerät ausgebildet ist.

In einer weiteren bevorzugten Ausführungsform ist die erfindungsgemäße Vor¬ richtung als eine intelligente Chipkarte mit den Merkmalen zumindest des An¬ spruches 1 ausgebildet, insbesondere eine sogenannte Smart-Card. Hierdurch ist eine besonders vorteilhafte Gestaltung mit geringen Abmessungen erreicht, welche eine einfache und bequeme Handhabung ermöglicht.

Eine andere Ausführung sieht vor, dass die Vorrichtung aus einer Chip-Card und einem Übertragungsgerät, vorzugsweise einem Funktelefon, besteht. So können Geräte, die aus dem täglichen Leben nicht mehr wegzudenken sind, für die erfindungsgemäße Vorrichtung vorteilhaft zur Anwendung kommen.

Vorzugsweise ist die Vorrichtung schließlich mit einer Anzeigeeinrichtung zur Anzeige von Daten und/oder einem Energiespeicher zum autarken Betrieb ver¬ sehen. Die Erfindung schafft außerdem ein Verfahren zum Übertragen von verschlüs¬ selten Daten mit der erfindungsgemäßen Vorrichtung mit folgenden Verfahrens¬ schritten: (a) Einlesen und Speichern von mittels einer Eingabeeinrichtung eingegebe¬ nen Daten; (b) Verschlüsseln dieser eingelesenen Daten mittels einer Verschlüsselungs¬ einrichtung und Speichern der verschlüsselten Daten; (c) Freischalten der Übertragungseinrichtung innerhalb eines vorgebbaren Zeitintervalls; (d) Übertragen der gespeicherten verschlüsselten Daten; und (e) Ausschalten der Übertragungseinrichtung nach dem vorgebbaren Zeitinter¬ vall.

Dieses Verfahren kann vorteilhaft in der Steuereinrichtung der erfindungsgemä¬ ßen Vorrichtung durch ein geeignetes Softwareprogramm von dem Prozessor ausgeführt werden. Dabei ist es ebenfalls von großem Vorteil, wenn in einer be¬ vorzugten Ausgestaltung im Verfahrensschritt (a) ein vorgegebenes Passwort oder eine Geheimzahl eingegeben wird und/oder biometrische Daten des Be- nutzers mittels einer Sensorik eingelesen werden, und dass bei falschen Einga¬ bewerten nach einer vorgebbaren Anzahl von Wiederholungen die Vorrichtung deaktiviert wird.

Besonders bevorzugt ist, dass im Verfahrensschritt (e) die in den Verfahrens- schritten (a) und (b) gespeicherten Daten gelöscht werden, um somit eine hohe Sicherheitsstufe gegen Missbrauch zu erlangen.

Ein weiterer Vorteil besteht darin, dass in einer anderen bevorzugten Ausgestal¬ tung im Verfahrensschritt (a) eine Eingabe eines vorgebbaren Zeitintervalls er- folgt, womit eine besondere Flexibilität erreicht wird. Der Benutzer kann das von ihm eingegebene Zeitintervall ganz individuell an seine Bedürfnisse anpassen, wenn beispielsweise der Weg von dem Ort seiner Eingabe zum Selbstbedie¬ nungsgerät besonders lang ist, und sich keine Gelegenheit mehr vorher zu einer sicheren Eingabe bietet.

In einer anderen, besonders vorteilhaften Ausführungsform kann im Verfahrens¬ schritt (a) die Eingabe von Daten für einen vollständigen Bedienungsvorgang für ein Selbstbedienungsgerät durchgeführt werden, wie insbesondere auch die Eingabe des abzuhebenden Geldbetrages. Dadurch ist eine weitere hohe Si¬ cherheitsstufe gegen Ausspähen der Geheimnummer gegeben, da der vollständige Eingabevorgang am Selbst¬ bedienungsgerät vor Ort entfällt und vom Benutzer an einem von ihm gewählten sicheren Ort vorgenommen werden kann.

Die Sicherheit des Verfahrens ist durch kryptografische Schlüssel und kryp- tografische Verfahren und die Verwendung von Smart-Cards gegeben. Jede erfindungsgemäße Vorrichtung, die auch als ein persönlicher EPP (Encrypted Pin Päd) bezeichnet werden kann, kann außerdem durch eine weltweit einzigar¬ tige Seriennummer identifiziert werden.

Durch die erfindungsgemäße Vorrichtung mit einer zeitlichen Begrenzung der Gültigkeit der Eingaben, beispielsweise PIN-Nummer und/oder Geldbetrag, führt ein Verlust des persönlichen EPP außerhalb des vorher eingestellten Gültig¬ keitszeitraumes nicht zwangsläufig auch zu einem finanziellen Verlust des Kon¬ toinhabers. Hieraus ergibt sich ein besonders wirtschaftlicher Sicherheitsvorteil.

Durch die sichere Verschlüsselung und die zeitliche Begrenzung kann das per- sönliche EPP zum Beispiel auch an andere Personen für einen ein- oder mehrmaligen zeitlich und/oder betragsmäßig limitierten Aus- oder Bezahlvor¬ gang überlassen werden, ohne dass diesen Personen die Geheimzahl mitgeteilt werden muss. Weitere vorteilhafte Ausführungsformen der Erfindung sind in den Unteransprü- chen aufgeführt.

Die Erfindung wird nun mit Bezug auf die beigefügte Zeichnung anhand eines Ausführungsbeispiels erläutert. Hierbei zeigt:

Figur 1 eine perspektivische Ansicht einer beispielhaften Ausfüh¬ rungsform einer erfindungsgemäßen Vorrichtung bei einer Anwendung; und

Figur 2 ein beispielhaftes Blockschaltbild einer erfindungsgemäßen Vorrichtung.

Die Figur 1 zeigt eine perspektivische Ansicht einer beispielhaften Ausführungs¬ form einer erfindungsgemäßen Vorrichtung 1 bei einer Anwendung einer Daten¬ übertragung zu einem Selbstbedienungsgerät 2. Üblicherweise wird an dem Selbstbedienungsgerät 2, welches in der Figur 1 ein Geldautomat ist, über eine Tastatur 3 ein Passwort oder eine Geheimzahl, ein so genannter PIN-Code eingegeben, damit ein bestimmter Vorgang, beispiels- weise eine Auszahlung, vorgenommen werden kann. Die Eingabeaufforderun¬ gen und Reaktionen des Selbstbedienungsgerätes werden an einem Bildschirm 4 zur Bedienerführung angezeigt. Beim Auszahlungsvorgang wird das entspre¬ chende Geld über eine Ein-/Ausgabereinrichtung 5 in bekannter Weise ausge¬ geben.

Anstelle der manuellen Eingabe mittels der Tastatur 3 ist zur Übertragung der Geheimzahl die erfindungsgemäße Vorrichtung 1 vorgesehen, welche vorzugs¬ weise aus einer Smart-Card besteht. Die Smart-Card 1 weist eine Eingabetasta¬ tur 6 zur Eingabe der Geheimzahl und vorzugsweise eine Anzeige 7 zur Bedie- nerführung auf. Hiermit kann die Geheimzahl an einem für den Benutzer siche¬ ren Ort unabhängig vom Standort des Selbstbedienungsgerätes 2 vorgenom¬ men werden.

Am Standort des Selbstbedienungsgerätes 2 wird wie in Figur 1 dargestellt, die in der Smart-Card 1 gespeicherte Geheimzahl über eine Übertragungsstrecke 8 an eine Empfangseinrichtung 9 des Selbstbedienungsgerätes 2 übertragen. Die Übertragungs-strecke 8 kann eine bekannte Ausführung einer drahtlosen Sig¬ nalstrecke sein, beispielsweise Infrarot- oder Nahfeldfunkübertragung wie Blue¬ Tooth. Ebenso ist eine Induktionsschleife möglich. Auch eine drahtgebundene Übertragung kann ausgeführt werden, indem die Übertragungsstrecke 8 als Ka¬ bel ausgeführt ist, welches von der Smart-Card 1 an das Selbstbedienungsgerät 2 angeschlossen wird.

Im Folgenden wird der Aufbau der Smart-Card 1 beschrieben. Diese Beschrei- bung erfolgt mit Bezugnahme auf Figur 2, die ein beispielhaftes Blockschaltbild darstellt.

Die Eingabetastatur 6 mit Tastenelementen 10 ist für die Eingabe von alphanu¬ merischen Zeichen sowie auch von anderen Steuerzeichen vorgesehen. Sie ist mit einer Steuereinrichtung 11 verbunden. Die Bedienerführung des Benutzers zur korrekten Eingabe in die Eingabetastatur 6 kann über die Anzeigeeinrich¬ tung 7 erfolgen. Die Anzeigeeinrichtung 7 ist in dieser Ausführung mit der Steuereinrichtung 11 verbunden. Sie kann jedoch auch einen eigenen Prozes¬ sor oder eine eigene Steuereinrichtung besitzen. Weiterhin weist die Smartkarte 1 eine Übertragungseinrichtung 13 auf, die mit der Steuereinrichtung 11 verbunden ist. Die Übertragungseinrichtung 13 kann außerdem ein erstes Kontaktfeld 14 für eine drahtgebundene Übertragung beinhalten.

An die Steuereinrichtung 11 ist weiterhin eine Schalteinrichtung 15 angeschlos¬ sen. Diese Schalteinrichtung 15 aktiviert die Übertragungeinrichtung 13 zur Ü- bertragung der eingegebenen Daten an das Selbstbedienungsgerät 2. In der Steuereinrichtung 11 befindet sich eine Verschlüsselungseinrichtung 16, ein Prozessor 17 und ein nicht dargestellter Speicher. Die Verschlüsselungseinrich¬ tung 16 und der Speicher können ebenfalls außerhalb der Steuereinrichtung 11 angeordnet sein.

Die Smartkarte 1 weist in einer weiteren Ausgestaltung eine Sensorik 18 mit ei¬ nem zweiten Kontaktfeld 19 auf, welche für die Abtastung biometrischer Daten vorgesehen ist, wie zum Beispiel ein Fingerabdrucksensor.

Ein Energiespeicher 20 stellt die notwendige elektrische Energie zum Betrieb der Smartkarte zur Verfügung. Es ist vorzugsweise eine wiederaufladbare Batte¬ rie, wobei es sich auch um eine Solaraufladung handeln kann. Das Wiederauf¬ laden kann durch Induktion drahtlos oder drahtgebunden über das erste oder auch zweite Kontaktfeld 14 , 19 in einer entsprechenden, nicht dargestellten Einrichtung erfolgen. Da der Betrieb der Smartkarte 1 nur kurzfristig erfolgt, ist der Energiebedarf äußerst gering.

Im Weiteren wird der Betrieb der Smartkarte 1 näher erläutert. Die Smartkarte 1 wird über die Eingabeeinrichtung 6 eingeschaltet. Die Steuereinrichtung 11 gibt den Eingabeablauf über die Anzeigeeinrichtung 7 dem Benutzer vor. Der Benut- zer wird aufgefordert, seine PIN-Nummer und/oder ein Passwort einzugeben, welche/welches mit einem gespeicherten Referenzwert verglichen wird. Dieser gespeicherte Referenzwert kann von dem die Smartkarte 1 ausgebenden Geld¬ institut eingespeichert sein. Es ist aber auch möglich, dass in einer anderen Ausführung der Smartkarte 1 eine solche Überprüfung nicht erfolgt.

Der so geprüfte beziehungsweise eingegebene Datenwert wird mittels der Steuereinrichtung 11 gespeichert und mit der Verschlüsselungseinrichtung 16 verschlüsselt und gespeichert. Das erste Speichern kann auch unterbleiben. Nun erfolgt ein Freischalten der Smartkarte 1 mittels der Schalteinrichtung 15 während eines vorgegebenen Zeitintervalls, welches entweder gespeichert vom Geldinstitut veränderbar oder fest vorgegeben ist, oder auch vom Benutzer auf Anforderung durch die Steuereinrichtung 11 vorgegeben werden kann. Der Be- nutzer muss daraufhin innerhalb dieses Zeitintervalls einen Übertragungsvor¬ gang seiner auf der Smartkarte 1 eingegebenen Daten durchführen.

Dieser Übertragungsvorgang erfolgt, indem der Benutzer die Smartkarte 1 am Standort des Selbstbedienungsgerätes 2 entweder selbst durch eine Tasten- kombination an der Eingabeeinrichtung 6 aktiviert, oder indem die Smartkarte 1 von der Empfangseinrichtung 9 des Selbstbedienungsgerätes 2 drahtlos akti¬ viert wird, nachdem der Benutzer sich am Selbstbedienungsgerät 2 angemeldet hat. Diese Anmeldung kann auch automatisch über die Übertragungseinrichtung 13 der Smartkarte 1 erfolgen.

Wenn der Benutzer vom Selbstbedienungsgerät 2 aufgefordert wird, seine PIN- Nummer einzugeben, führt er dieses mit der Smartkarte 1 aus, indem er eine entsprechende Tastenkombination der Eingabeeinrichtung 6 betätigt, oder die Smartkarte 1 in dem Empfangsbereich der Empfangseinrichtung 9 des Selbst- bedienungsgerätes 2 bringt. Es kann auch ein Einführen der Smartkarte 1 in einen bekannten Kartenleser des Selbstbedienungsgerätes 2 erfolgen, wobei dann die Übertragung der verschlüsselten Daten von der Übertragungseinrich¬ tung 13 der Smartkarte 1 über das erste Kontaktfeld 14 vorgenommen wird.

Nach Ablauf des vorgebbaren Zeitintervalls, oder nach Beendigung des Über¬ tragungsvorgangs der verschlüsselten Daten, oder nach Tastenbetätigung der Eingabeeinrichtung 6 der Smartkarte 1 wird die Übertragungseinrichtung 13 der Smartkarte 1 von der Schalteinrichtung 15 ausgeschaltet, so dass kein weiterer Übertragungsvorgang mehr stattfinden kann. In einer bevorzugten Ausführungs- form wird gleichzeitig der gespeicherte Datenwert der verschlüsselten und un¬ verschlüsselten Dateneingabe auf der Smartkarte 1 unwiderruflich gelöscht. Die Smartkarte 1 muss für einen neuen Übertragungsvorgang erneut aktiviert wer¬ den, das heißt, es ist eine weitere Eingabeprozedur erforderlich. Somit ist eine vorteilhafte Sicherheit gegen Missbrauch gewährleistet, beispielsweise im Fall einer verlorenen Smartkarte 1.

Die Erfindung ist nicht auf das oben beschriebene Ausführungsbeispiel be¬ schränkt. So ist es denkbar, dass die Smartkarte 1 oder eine Chip-Karte in Kombination mit einem Funktelefon verwendet werden kann, wobei die drahtlose Übertra¬ gungsstrecke 8 vom Funktelefon betrieben wird und die Übertragungseinrich¬ tung 13 der Smartkarte 1 mit dem Funktelefon drahtgebunden über das erste Kontaktfeld 14 kommuniziert.

Weiterhin kann die Steuereinrichtung 11 der Smartkarte 1 eine solche Software aufweisen, mit welcher der gesamte Bedienerführungsvorgang des Selbstbe¬ dienungsgerätes 2 vorab an einem für den Benutzer sicheren Ort durchgeführt werden kann. Das bedeutet, dass der Benutzer am Standort des Selbstbedie¬ nungsgerätes 2 nur noch dieses aktivieren muss, die verschlüsselten Daten mit seiner Smartkarte 1 überträgt und so der gesamte Vorgang, beispielsweise der Dateneingabe zur Geldausgabe, von der Datenübertragung der Smartkarte 1 übernommen wird. Dazu ist es vorteilhaft, dass die Übertragungsstrecke 8 und die Übertragungseinrichtung 13 der Smartkarte 1 bidirektional ausgebildet ist.

Es ist auch denkbar, dass die erfindungsgemäße Vorrichtung vollständig mit den Funktionen der Smartkarte 1 in einem Funktelefon oder umgekehrt integ¬ riert ist. Dieses kann als Aufsteckmodul ähnlich einer aufsteckbaren Kamera ausgeführt sein. Die Datenübertragung kann beispielsweise mittels einer Infra¬ rotstrecke oder einer so genannten drahtlosen „Bluetooth'-Funkverbindung er¬ folgen.

Ebenfalls kann die Smartkarte 1 für eine begrenzte Zeit und auf einen bestimm- ten Geldbetrag voreingestellt werden, so dass sie auch beispielsweise für das Abheben einer bestimmten Geldmenge für dritte Personen geeignet ist, wobei ein Missbrauch durch die Schalteinrichtung 15 gänzlich ausgeschlossen ist. Bezuαszeichen

1 Vorrichtung 2 Selbstbedienungsgerät 3 Tastatur 4 Bildschirm 5 Ein-/Ausgabeeirnichtung 6 Eingabetastatur 7 Anzeige 8 Übertragungsstrecke 9 Empfangseinrichtung 10 Tastenelemente 11 Steuereinrichtung 13 Übertragungseinrichtung 14 erstes Kontaktfeld 15 Schalteinrichtung 16 Verschlüsselungseinheit 17 Prozessor 18 Sensorik 19 zweites Kontaktfeld 20 Energiespeicher